|
|
"Hacker'ı ve suçluyu ayırmak lazım"
Geçtiğimiz yıllarda bazı büyük kuruluşların bilgisayar
sistemlerine girmek suçundan hakkında dava açılan ve kamuoyunda "ilk Türk hacker" olarak tanınan Tamer Şahin, hacker'lık tecrübesini ve bilişim güvenliği konusundaki fikirlerini anlattı.
-Hacker'lık geçmişinizden başlayalım mı? Siz Türkiye'nin en ünlü hacker'ı olarak biliniyorsunuz. Kamuoyunun sizi hacker olarak tanıması nasıl oldu? (Super Online ve Garanti Bankası olaylarından kısaca bahsederseniz, adli süreç nasıl gelişti ? vs.)
Bu konudaki ilk geniş çaplı olay bir gazetede yayınlanan haberle gerçekleşti. O haberden sonra sadece internet güvenliği ile alakalı insanların tanıdığı biri olmaktan çıkmış oldum ve artık bilgisayarla biraz alakası olan ve "Hacker" kelimesinin anlamını az çok bilen bir çok insan tarafından tanınmış oldum.
Fakat gazetedeki haberin üslubu biraz zarar verici nitelikteydi. Bu haberden sonra büyük bir banka "Bilgisayar Sistemlerine İzinsiz Girmek" ve "Bankalar Kanununa Muhalefet" suçundan iki dava açtı.
-Hacker'lar amaçlarına göre çeşitli gruplara ayrılıyor. Siz kendinizi ne tür bir hacker olarak tanımlıyor musunuz?
Bahsettiğiniz gibi hacker'lar da kendi aralarında çeşitli gruplara ayrılıyor. Blackhat, Whitehat, Greyhat olarak. Blackhat bilgisayar sistemlerine girip verileri alan, değiştiren zarar veren hacker'lar olarak tanınıyor. Whitehat, hacking becerisini ticari ortamda firmalara danışmanlık hizmeti vererek kullanıyorlar. Greyhat ise hem ticari ortamda bilgisayar sistemlerinin korunması için çalısmalar yapıp hem de gerektiginde bir bilgisayar sistemine girip zarar vermeden istediği bilgiye ulaşıp iz bırakmadan kaybolan hackerlar'a deniliyor.
Açıkçası kendimi bir gruba ait hissetmedim. Ilk zamanlar yaptıklarımla bir "Blackhat" olduğum soylenebilir. Simdi birikimimi bilgisayar sistemlerini korumak adına kullanıyorum fakat yine de şu durumda kendimi tam bir "Whitehat" olarak hissetmiyorum. Sanırım "Greyhat" bana en yakın grup oluyor.
-Neden hack ediyordunuz? Büyük bir şirketin sistemlerine girmek size neler hissettiriyordu?
Bunun için belirli bir nedeni var diye açıklamak komik olur. Sanıyorum kendi sınırlarımı zorlamakla ilgili bir şey… Sürekli bir adım ileri gitmek, çıtayı her seferinde biraz daha yükseltmek…
-Yanılmıyorsam şu anda şirketlere bilişim güvenliği konusunda danışmanlık yapıyorsunuz. Dünyada da bunun örnekleri var değil mi? Eski hacker'lar kariyerlerini güvenlik uzmanı olarak sürdürebiliyor. Sizin için bu süreç nasıl işledi?
Benim için bu süreç son zamanlarda oldukça sancılı gelişiyor. Son 2 yıldır Türklerin geliştirdigi ilk güvenlik yazılımı hazırlıyorduk. Programı gelistirdik ve dünya çapında ünlü test merkezlerinden yeterlilik sertifikasyonlarını tamamladık. Fakat Amerika'daki risk sermayesi kuruluşu ile iletişimimizi sağlayan kişiler tarafından dolandırıldık.
Bu projedeki maddi kaybımın yanında manevi açıdan da büyük oranda kayıplar verdim. Kariyerim için planladığım, yurt dısında bir güvenlik firmasında bir yandan kariyerimi sürdürüp diğer yandan "Information Security" dalında üniversite eğitimimi tamamlama isteğim suya düşmüş oldu. Bunun yanında 2 yıllık verilen emeğin de boşa gitmiş olması cabası...
Şu anda proje iptal edildi ve ben iş tekliflerini değerlendirdiğim bir süreçteyim. Bunun yanı sıra bağımsız olarak firmalara verdiğim danışmanlık hizmetlerim devam ediyor.
-Türkiye'de bilişim sektörünün güvenliğe yaklaşımını nasıl değerlendiriyorsunuz? Güvenliğe gerekli önem veriliyor mu?
Türkiye'de güvenliğe verilen önem son yıllarda artmaya basladı. Tabii ki bunda önceki yıllarda başa gelen olayların da çok büyük etkisi var. Bu açıdan böyle bir gelişime katkıda bulunduğumu bilmek gerçekten güzel. Fakat dünyadaki örneklerinde sürekli büyüme eğiliminde olan IT sektörü, Türkiye'de krizde neredeyse %40 oranında küçüldü. Bu derece reel bir küçülmenin yaşandığı sektorden de tam olarak güvenlik konusunda girişimlerde bulunması beklenemez. Sanıyorum ki gelecek yıllarda bu durum olumlu bir eğride sürecektir.
-Genel olarak hack eylemini gerçekleştirenler gizli kalma eğilimindedir. Bu sizin için pek mümkün olmadı. Türkiye'de sizin gibi güvenlik açıklarını tespit eden ancak ortaya çıkmayan çok hacker var mı?
Bu konuda hevesli çok insan var fakat bir elin parmaklarını geçmeyecek sayıda profesyonel insan bulunuyor Turkiye'de. Fakat onlar da sahada oynamak yerine tribünde oturmayı tercih eden kişiler.
-Özellikle ABD'de hacker'lar ağır hapis cezalarıyla karşı karşıya kalabiliyorlar. Bu açıdan Türkiye'deki hukuki durum nedir?
Türkiye'de halen bu konuda hukuki platform oluşturulmuş değil. Şu an bir internet servis sağlayıcının bilgisayar sistemlerine girmek suçundan 1 yıl 8 ay hapis cezasına çarptırıldım. Aynı suçu tekrar işlemem durumunda bu ceza infaz edilecek. Hakim ve savcıların doğal olarak konu hakkında herhangi bir bilgileri yok. Su anda hakkımda açılmış 3 dava var ve halen devam ediyorlar. Türkiye'de bilisim suçu kapsamında "Bilgisayar sistemlerine izinsiz girmek" istemiyle yargılanan ilk ve tek kişi durumundayım. Bu davalardan ne gibi bir sonuç alınacağına dair hiçbir fikrim yok. Karşıdaki firmalar, gruplar oldukça büyük ve hemen herseyi etkileyebiliyorlar. Hakim ve savcılar bu konuda eğitilirse tarafsız, doğru danısman kişiler ışığında, bundan sonra gelişebilecek bu tarz davalarda doğru kararlar verilebileceğine inanıyorum.
-Hacker'ların kendi alanlarında uydukları etik kurallar var mı? Belli siteleri hack etmemek vs.
Çeşitli "Hacker Manifestoları" internette yer alıyor fakat bunlar gerçek anlamda hacker topluluğu arasında kabul gören ama uygulanmayan manifestolar. Hack edilen siteler için ise bir kategorizasyon mevcut değil her çesit sitenin kırılmasını görmek mümkün.
-Hacker'lık bilgisayara meraklı gençler için cazip bir alan gibi görünüyor, ama işin hukuki yönünü de göz ardı etmemek gerek. Siz bu konuyla ilgili insanlara, kendi tecrübenizden de yola çıkarak ne söylemek istersiniz?
Açıkcası bir sabah kapı çalınıp, çevik kuvvet mensubu polisler tarafından evinize baskın yapılması pek hoş bir sey değil. Özellikle Emniyet'te yasanan süreçle, yargıda devam eden süreç insanı çok yıpratıyor. Hacker'lık genellikle insanlarda taşıdığı gizem ve mistik hava yüzünden çekici geliyor. Fakat unutulmamalı ki bu belirli kıstaslar dahilinde yapıldığında kişi "hacker" olarak tanımlanabilir. Eğer kişi sistemlere girip, oradan aldığı verileri kar gözeterek başka firmalara satıyorsa o zaman bu kisi bir "hacker" değil sadece "suçlu" olarak nitelendirilebilir.
|
|
|
|
